گزارش یک شرکت امنیت سایبری: هکرهای حکومتی ایران محققان اسرائیلی را هدف قرار دادند

یک گروه هکری وابسته به جمهوری اسلامی با آغاز موج تازه‌ای از حملات خود علیه اسرائیل، محققان این کشور را هدف قرار داده است. شرکت امنیت سایبری «چک پوینت» با بررسی جزییات این حمله تاکید کرد تبعات امنیتی ناشی از این کارزار هک ممکن است هنوز به‌طور کامل کشف نشده باشد.

چک پوینت این حملات را به گروهی با نام «اجوکیتد مانتیکور» (Educated Manticore) منتسب کرده است.

به گفته این شرکت، این گروه با گروه‌هایی به نام‌های «بچه گربه دلربا»، «APT35» ،«TA453» و «فسفروس» یا همان «طوفان شنی نعنایی» هم‌پوشانی زیادی دارد.

در گزارش منتشر شده از سوی شرکت چک پوینت، تاکید شده اجوکیتد مانتیکور در دور تازه حملات خود از روندهای به‌روز سایبری مانند استفاده از انواع فایل‌های بایگانی مختلف بهره برده است.

گروه هکری APT35 که در رسانه‌های فارسی‌زبان بیشتر با نام بچه گربه‌های دلربا شناخته می‌شود، فعالیت خود را از سال ۲۰۱۱ آغاز کرده است.

این گروه در حملات خود از تکنیک‌های مختلفی مانند ساخت حساب‌های جعلی در شبکه‌های اجتماعی، فیشینگ و سوءاستفاده از ایرادات امنیتی عمومی‌شده در نرم‌افزارها استفاده می‌کند تا با کسب دسترسی غیرمجاز به سیستم کاربر، بدافزارهای خود در رایانه قربانی را اجرایی کند.

در کارنامه این گروه همچنین حملات باج‌افزاری نیز به چشم می‌خورد.

گزارش چک پوینت نشان می‌دهد این گروه با به‌روز رسانی ابزارهای بدافزاری خود تلاش کرده است تا امکان تحلیل و شناسایی آن‌ها را توسط کارشناسان امنیت سایبری به حداقل برساند.

در حمله تازه‌کشف شده، هکرهای حکومتی ایران تلاش کرده‌اند با ایجاد یک فایل بایگانی و فریب کاربر از طریق سندی جعلی با محتوای مرتبط با کشور عراق، بدافزار خود را وارد سیستم قربانی کنند.

سند متنی مورد اشاره به سه زبان انگلیسی، عبری و عربی تهیه شده که محتوایی آکادمیک درباره عراق دارد و به یک سازمان غیر انتفاعی به نام «بنیاد علم و فناوری عرب» (Arab Science and Technology Foundation) مرتبط است.

گزارش‌هایی مستندی وجود دارد که نشان می‌دهد این اسناد پیش از این با آدرس‌های آی‌پی متعلق به کشور اسرائيل مورد بررسی قرار گرفته‌اند.

محققان چک پوینت با توجه به این نشانه‌ها، هدف حملات را فعالان حوزه آکادمیک در اسرائیل می‌دانند.

بدافزار کشف شده در این حمله که «پاورلس» (PowerLess) نام گرفته پیش از این در فوریه ۲۰۲۲ توسط شرکت «سایبریزن» (Cybereason) شناسایی شده بود.

این بدافزار امکان سرقت اطلاعات از مرورگر وب و پیام‌رسان تلگرام، ذخیره اسکرین‌شات، ضبط صدا و ضبط ورودی‌های صفحه‌کلید رایانه را دارد.

ارتباط پاورلس با مرکز کنترل خود به صورت رمزگذاری شده انجام می‌شود و این بدافزار همچنین برای فریب محققان سایبری به شکل مداوم رمزگذاری ارتباطات خود را تغییر می‌دهد.

در هفته‌های گذشته هشدارهای متعددی درباره حملات سایبری مرتبط به جمهوری اسلامی ایران منتشر شده است. در یکی از این نمونه‌ها، شرکت مایکروسافت نسبت به احتمال وقوع حملات سایبری مخرب به زیرساخت‌های حیاتی ایالات متحده از سوی گروه ایرانی «طوفان شنی نعنایی» هشدار داده بود.